Firewall - Synflood protection ?

Hallo,

eine Frage an die Experten:

#$iptables -A SYNFLOODCHAIN -i $IFACE_EXT -p tcp --syn -m limit --limit 1/s -j ACCEPT
#$iptables -A SYNFLOODCHAIN -i $IFACE_EXT -j DROP

limitiert die Anzahl der eingehende SYN-Pakete auf 1 Pro/Minuten. Was mir aber hier nichct klar ist, das bedeutet doch auch eigentlich, dass der Server dann nur noch eine neue Verbindung pro Minute „annahmen“ kann, da ja jede neue TCP Verbindung (so z.B. zum HTTP-Server der auf dem Server läuft) auch ein SYN Paket sendet. Oder wird das aus irgendwelchen Gründen hier nicht mitgezählt sondern nur „alleinstehende“ SYN-Pakete.

Bin für jeden Hinweis sehr dankbar!!
Julian

Moien

#$iptables -A SYNFLOODCHAIN -i $IFACE_EXT -p tcp --syn -m
limit --limit 1/ s -j ACCEPT

limitiert die Anzahl der eingehende SYN-Pakete auf 1
Pro/Minuten.

pro Sekunde. Und ja, das soll so.

Was mir aber hier nichct klar ist, das bedeutet
doch auch eigentlich, dass der Server dann nur noch eine neue
Verbindung pro Minute „annahmen“ kann, da ja jede neue TCP
Verbindung (so z.B. zum HTTP-Server der auf dem Server läuft)
auch ein SYN Paket sendet.

Klar. Aber kann dein http server auch tatsächlich mehr als ein Connect pro Sekunde verkraften ?

cu

http://cr.yp.to/syncookies.html

danke
hallo pumpkin

danke für die Antwort. Dann habe ich das System kapiert, sprich ich muss erstmal „berechnen“ was die Maximale Anzahl von SYN-Paketen aller Services auf dem Server pro Sekunden sein kann (HTTP/SMTP) und auf den WErt muss ich dann mein Syn Limiting setzten…

Danke und viele Grüße
Julian

danke für die Antwort. Dann habe ich das System kapiert,
sprich ich muss erstmal „berechnen“ was die Maximale Anzahl
von SYN-Paketen aller Services auf dem Server pro Sekunden
sein kann (HTTP/SMTP) und auf den WErt muss ich dann mein Syn
Limiting setzten…

Dir ist schon klar, dass es dann noch einfacher wird, den Server zu „DoSen“? Dann muss man nicht mehr an den Schutzmechanismen vom Kernel vorbei, sondern kann einfach das Limit vom Paketfilter ausnutzen.